HackerNews 编译，转载请注明出处： 网络安全研究人员发现了微软Azure Data Factory Apache Airflow集成中的三项安全漏洞，这些漏洞若被成功利用，可能使攻击者能够执行多种隐秘操作，包括数据窃取和恶意软件部署。 “利用这些漏洞，攻击者可以获得对整个Airflow Azure Kubernetes Service (AKS)集群的持续访问权限，成为影子管理员，”Palo Alto Networks的Unit 42团队在本月早些时候发布的一份分析报告中指出。 虽然微软将这些漏洞归类为低严重性，但其具体问题包括： – Airflow集群中的Kubernetes RBAC配置错误 – Azure内部Geneva服务的密钥处理配置错误 – Geneva服务身份验证机制薄弱 除未经授权访问外，攻击者还可能利用Geneva服务中的漏洞篡改日志数据或发送虚假日志，以掩盖创建新Pod或账户时的恶意行为。 初始攻击途径涉及创建一个定向无环图（DAG）文件并将其上传至连接到Airflow集群的私人GitHub存储库，或者修改现有的DAG文件。其最终目标是在文件导入后立即启动一个反向Shell连接到外部服务器。 要实现这一点，攻击者首先需要通过利用被攻陷的服务主体或文件的共享访问签名（SAS）令牌获得对存储DAG文件的存储账户的写权限。或者，他们可以通过泄露的凭据攻破Git存储库。 虽然通过这种方式获取的Shell在Kubernetes Pod中以Airflow用户的权限运行，其权限有限，但进一步分析发现了一个与Airflow运行器Pod相关联的集群管理员权限服务账户。 这一配置错误，加上Pod可通过互联网访问，使得攻击者能够下载Kubernetes命令行工具kubectl，最终通过部署特权Pod并突破底层节点，实现对整个集群的全面控制。 攻击者随后可利用主机虚拟机（VM）的Root权限进一步深入云环境，未经授权访问Azure托管的内部资源，包括Geneva服务。部分Geneva服务还授予对存储账户和事件中心的写权限。 “这意味着技术高超的攻击者可以修改一个存在漏洞的Airflow环境，”研究人员Ofir Balassiano和David Orlovsky表示。“例如，攻击者可以创建新的Pod和服务账户，甚至修改集群节点，并向Geneva发送伪造的日志而不会引发警报。” “此问题凸显了严格管理服务权限以防止未经授权访问的重要性，也强调了对关键第三方服务操作进行监控以防止此类访问的必要性。” 此次披露还伴随着Datadog Security Labs的另一发现，即Azure Key Vault中的权限升级场景。攻击者可通过Key Vault Contributor角色读取或修改Key Vault内容，例如API密钥、密码、认证证书和Azure Storage SAS令牌。 问题在于，虽然拥有Key Vault Contributor角色的用户在启用访问策略的Key Vault上无法直接访问数据，但该角色被发现具有添加自身至Key Vault访问策略的权限，从而绕过了权限限制。 “策略更新可能包含列出、查看、更新和全面管理Key Vault数据的能力，”研究人员Katie Knowles解释道。“这导致了一个场景：Key Vault Contributor角色的用户尽管没有[基于角色的访问控制]权限来管理权限或查看数据，但仍可获得所有Key Vault数据的访问权限。” 微软随后更新了其文档，强调访问策略风险：“为了防止未经授权访问和管理您的Key Vault、密钥、机密和证书，必须限制Key Vault Contributor角色对启用访问策略权限模型的Key Vault的访问。” 这一事件发生之际，亚马逊Bedrock CloudTrail日志记录问题也被曝光。该问题使区分针对大语言模型（LLM）的恶意查询与合法查询变得困难，从而允许攻击者进行侦察活动而不引发任何警报。 “具体来说，失败的Bedrock API调用与成功调用记录方式相同，未提供任何特定错误代码，”Sysdig研究员Alessandro Brucato表示。“API响应中缺乏错误信息可能通过在CloudTrail日志中产生误报来阻碍检测工作。没有这些细节，安全工具可能会误将正常活动解读为可疑行为，从而导致不必要的警报并可能忽视真正的威胁。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

GitHub 安全实验室的安东尼奥-莫拉莱斯（Antonio Morales）最近发布了一份报告，公布了 GStreamer 中的 29 个漏洞，GStreamer 是一个开源多媒体框架，广泛应用于 Ubuntu、Fedora 和 openSUSE 等 Linux 发行版。GStreamer 支持广泛的多媒体功能，包括音频和视频解码、字幕解析和媒体流。它与 Nautilus、GNOME Videos 和 Rhythmbox 等关键应用程序的集成使其成为许多系统的重要组件，也成为网络攻击者的诱人目标。 莫拉莱斯在报告中解释说：“GStreamer 是一个大型库，包括 300 多个不同的子模块。在这项研究中，我决定只关注 Ubuntu 发行版默认包含的’Base’和’Good’插件。”这些插件支持 MP4、MKV、OGG 和 AVI 等流行编解码器，因此特别容易被利用。 在已发现的 29 个漏洞中，大多数是在 MP4 和 MKV 格式中发现的。以下是一些最值得注意的漏洞： CVE-2024-47537：isomp4/qtdemux.c.中的越界（OOB）写入。 CVE-2024-47538: vorbis_handle_identification_packet 中的堆栈缓冲区溢出。 CVE-2024-47607： gst_opus_dec_parse_header 中的堆栈缓冲区溢出。 CVE-2024-47615: gst_parse_vorbis_setup_packet 中的 OOB 写入。 CVE-2024-47539：convert_to_s334_1a 中的 OOB 写入。 这些漏洞包括 OOB 写入、堆栈缓冲区溢出和空指针取消引用，所有这些漏洞都可能允许攻击者执行任意代码、导致系统崩溃或外泄敏感信息。 GStreamer 在桌面环境和多媒体应用程序中的广泛使用凸显了这些漏洞的严重性。莫拉莱斯称：“该库中的关键漏洞可以打开许多攻击载体。例如，恶意制作的媒体文件可以利用这些漏洞入侵用户系统。” 为了发现这些漏洞，莫拉莱斯采用了一种新颖的模糊方法。由于大型媒体文件的大小和复杂性，传统的覆盖引导模糊器在处理大型媒体文件时往往会遇到困难。莫拉莱斯选择了一种定制方法： 他说：“我从头开始创建了一个输入语料生成器，”他介绍说，该技术生成了 400 多万个测试文件，专门用于发现 MP4 和 MKV 解析器中的罕见执行路径。 我们敦促开发人员和用户尽快更新到最新的 GStreamer 补丁版本。   转自安全KER，原文链接：https://www.anquanke.com/post/id/303158 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 一名使用@NSA_Employee39昵称的X平台用户声称，在开源文件归档软件7-Zip中发现了一个零日漏洞。该账号已通过X平台验证。 该用户宣布，本周将“连续曝光零日漏洞”，首个目标便是7-Zip软件中的任意代码执行漏洞。 攻击者可通过诱骗受害者打开精心制作的.7z归档文件，利用此漏洞在受害者系统上执行恶意代码。 用户已在Pastebin上发布了针对此零日漏洞的利用代码。Pastebin上的描述称：“此利用代码针对7-Zip软件中LZMA解码器的漏洞。它使用包含畸形LZMA数据流的.7z归档文件，在RC_NORM函数中触发缓冲区溢出条件。通过调整偏移量和有效载荷，利用代码操控内部缓冲区指针以执行shellcode，从而实现任意代码执行。当受害者使用7-Zip的易受攻击版本（当前版本）打开或解压归档文件时，利用代码将被触发，执行有效载荷以启动calc.exe（可自行更改）。” 然而，多位专家对此声明提出质疑，称该利用代码无效，所谓的零日漏洞并不存在。 7-Zip的作者伊戈尔·帕夫洛夫（Igor Pavlov）表示，该漏洞为伪造。他解释说，LZMA解码器中不存在RC_NORM函数。 帕夫洛夫写道：“普遍结论是，Twitter上这段伪造的利用代码是由LLM（AI）生成的。” “伪造代码中的注释包含以下声明： 此利用代码针对7-Zip软件中LZMA解码器的漏洞。它使用包含畸形LZMA数据流的.7z归档文件，在RC_NORM函数中触发缓冲区溢出条件。” 但LZMA解码器中不存在RC_NORM函数。相反，7-Zip在LZMA编码器和PPMD解码器中包含了RC_NORM宏。因此，LZMA解码代码不会调用RC_NORM。利用代码注释中关于RC_NORM的陈述是不真实的。”   消息来源：Security Affairs, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 上周晚些时候，Palo Alto Networks通知客户，其已修复一个零日漏洞，该漏洞曾被用于对其防火墙发动拒绝服务（DoS）攻击。 该安全漏洞编号为CVE-2024-3393，影响了运行于Palo Alto Networks防火墙上的PAN-OS软件的DNS安全功能。漏洞允许未经身份验证的攻击者通过数据平面发送特制数据包，导致防火墙重启。 Palo Alto Networks警告称：“多次尝试触发此条件将导致防火墙进入维护模式。” 该公司还指出，其“已意识到当防火墙拦截触发此问题的恶意DNS数据包时，客户会遭遇拒绝服务（DoS）”。 尽管存在此情况且CVE-2024-3393被评为“高危”，但Palo Alto Networks仅将此漏洞的紧急程度定为“中等”，并指出仅当PAN-OS软件启用DNS安全日志记录，并应用DNS安全许可证或高级DNS安全许可证时，才会受到影响——两个条件需同时满足，漏洞利用才可能实现。 PAN-OS 10.1.14-h8、10.2.10-h12、11.1.5和11.2.3版本已修复此漏洞。而PAN-OS 11.0版本已于11月17日停止支持，因此不会收到修复补丁。同时，该公司还提供了临时解决方案和缓解措施。 Palo Alto Networks对爱沙尼亚CERT-EE提供的取证和分析协助表示感谢。但关于该漏洞的发现方式以及利用该漏洞的攻击情况，目前尚未有更多信息。 威胁组织利用Palo Alto防火墙漏洞发动攻击的情况并不罕见。在安全公司追踪的“月球窥探”行动中，恶意行为者曾利用两个PAN-OS零日漏洞攻破了大量防火墙。   消息来源：Security Week, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： VulnCheck最新发现，针对四信（Four-Faith）部分路由器的高危漏洞CVE-2024-12856（CVSS评分7.2）已被实际利用于攻击中。该漏洞为操作系统命令注入漏洞，影响F3x24和F3x36两款路由器型号。 尽管漏洞严重性相对较低，需远程攻击者成功认证后才可触发，但若路由器默认凭据未更改，则可能导致未经授权的命令执行。 VulnCheck报告指出，不明攻击者利用默认凭据触发CVE-2024-12856漏洞，通过反向Shell实现远程持久访问。攻击源自IP地址178.215.238[.]91，该地址此前曾用于攻击四信路由器的另一漏洞CVE-2019-12168，最近一次攻击活动发生在2024年12月19日。 VulnCheck研究员Jacob Baines指出，通过HTTP协议的/apply.cgi端点可对F3x24和F3x36路由器发起攻击。在修改系统时间时，adj_time_year参数存在命令注入漏洞。Censys数据显示，目前超过15000台四信路由器直接暴露于互联网，且攻击可能始于2024年11月初。 截至目前，尚未有关于此漏洞补丁可用性的具体信息。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

OilRig（又称 APT34 或 Helix Kitten）以针对中东地区关键部门的网络间谍活动而闻名，它利用漏洞和先进技术实现其地缘政治目标，行动精准。 Picus Labs 在其最新报告中深入探讨了这一伊朗国家支持的行为体的行动。报告重点介绍了 OilRig 的演变过程、历史活动及其使用的先进战术。 OilRig 于 2016 年出现在网络威胁领域，但也有证据表明其早期活动。该组织最初通过鱼叉式网络钓鱼活动和部署 Helminth 后门以沙特阿拉伯的组织为目标，并很快显示出长期存在和隐蔽的能力。报告指出：“OilRig 通过战略性地使用 Helminth 后门而崭露头角，这是一种先进的恶意软件工具，能够隐蔽、持续地访问目标系统。” 多年来，OilRig 已将其触角伸向整个中东地区，以政府实体、能源部门和技术提供商为目标。其工具也在不断演变，从早期的 Helminth 恶意软件到 QUADAGENT 和 ISMAgent 等更复杂的有效载荷。这些后门加上 Invoke-Obfuscation 等开源混淆工具，反映了该组织的适应能力和技术专长。 报告概述了 OilRig 如何将零日漏洞和最近披露的漏洞纳入其武器库，包括利用 CVE-2024-30088 漏洞。这个 Windows 内核漏洞允许 OilRig 获得系统级访问权限，使其能够部署定制的 STEALHOOK 后门，进行长时间监控和数据外渗。 OilRig 还针对供应链，利用技术提供商内被入侵的账户发起更广泛的攻击。2018 年的 QUADAGENT 活动就体现了这一策略，它利用基于 PowerShell 的恶意软件渗透政府和企业网络，而且往往不被发现。 Picus Labs 通过 MITRE ATT&CK 框架详细概述了 OilRig 的战术、技术和程序（TTPs）。其中包括： 初始访问： OilRig 擅长鱼叉式网络钓鱼活动，通常伪装成 LinkedIn 等平台上的可信联系人来获取凭证。 执行： 该组织依靠 PowerShell 和其他脚本工具在被入侵环境中隐蔽执行命令。 持久性： 定时任务和混淆有效载荷可确保持续访问，即使在部分修复工作完成后也是如此。 防御规避： 高级混淆技术（包括 base64 编码和调用混淆）允许 OilRig 绕过检测系统。 凭证访问： Mimikatz 和 LaZagne 等工具可从密码存储和内存转储中提取明文凭证。 渗透： OilRig 采用 FTP 和 DNS 隧道等替代协议提取敏感数据，同时避开监控系统。 Picus Labs 的报告全面概述了 OilRig 的 TTP，并将其映射到 MITRE ATT&CK 框架。这一详细分析为寻求抵御这一持续性威胁的组织提供了宝贵的见解。   转自安全KER，原文链接：https://www.anquanke.com/post/id/303035 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 网络安全研究人员近日发现，锐捷网络（Ruijie Networks）开发的云管理平台存在安全漏洞，可能使攻击者远程操控网络设备。 Claroty公司的研究人员Noam Moshe和Tomer Goldschmidt在报告中指出，这些漏洞不仅影响Reyee平台，还波及Reyee OS网络设备。一旦漏洞被利用，攻击者能在任何支持云功能的设备上执行代码，从而控制大量设备。 在对物联网（IoT）厂商进行深入分析时，Claroty发现了10个漏洞，并设计了“Open Sesame”攻击方法。该方法可通过云平台远程入侵接入点，实现未授权访问。 CVE-2024-47547（CVSS评分9.4）：弱密码恢复机制，易受暴力破解攻击。 CVE-2024-48874（CVSS评分9.8）：服务器端请求伪造（SSRF）漏洞，攻击者可访问内部服务及云基础设施。 CVE-2024-52324（CVSS评分9.8）：允许发送恶意MQTT消息，执行任意操作系统命令。 此外，CVE-2024-45722（CVSS评分7.5）漏洞表明，知道设备序列号即可破解MQTT认证，进而攻击MQTT代理，获取云连接设备序列号列表。 研究人员表示，利用序列号可生成有效认证凭据，执行拒绝服务攻击，包括认证、断开连接、发送伪造消息等，甚至向用户发送虚假数据。 攻击者若接近锐捷接入点的Wi-Fi网络，可通过拦截Wi-Fi信标提取序列号，利用MQTT通信漏洞实现远程代码执行。该攻击被命名为CVE-2024-47146（CVSS评分7.5）。 锐捷网络已修复所有漏洞，无需用户操作。预计约5万台云连接设备受影响。 研究人员表示，这是物联网设备（如无线接入点、路由器和其他连接设备）中的弱点的又一例，这些设备通常很容易进入，但却能够进行更深层次的网络攻击。 此次披露正值PC Automotive安全公司发现12个漏洞，影响某些斯柯达汽车的MIB3娱乐信息单元，恶意攻击者可能通过这些漏洞将其链式利用来执行代码、实时追踪汽车位置、通过车载麦克风录音、截取娱乐显示屏的屏幕截图，甚至窃取联系人信息。 这些漏洞（CVE-2023-28902至CVE-2023-29113）允许攻击者通过蓝牙“获得MIB3娱乐信息单元的代码执行权限”，提升至root权限，绕过安全启动获取持久的代码执行权限，并且每次汽车启动时通过DNS通道控制娱乐信息单元。PC Automotive的研究人员表示。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Apache 软件基金会 (ASF) 已发布安全更新来修复流量控制中的一个严重安全漏洞，如果成功利用该漏洞，攻击者可以在数据库中执行任意结构化查询语言 (SQL) 命令。 该 SQL 注入漏洞的编号为CVE-2024-45387，在 CVSS 评分系统中的评分为 9.9 分（满分 10.0 分）。 项目维护人员在一份公告中表示：“Apache Traffic Control <= 8.0.1、>= 8.0.0 中的 Traffic Ops 中存在一个 SQL 注入漏洞，允许具有‘管理员’、‘联合’、‘操作’、‘门户’或‘指导’角色的特权用户通过发送特制的 PUT 请求对数据库执行任意 SQL 。 ” Apache Traffic Control是内容分发网络 (CDN) 的开源实现。它于 2018 年 6 月被AS宣布为顶级项目 (TLP)。 腾讯云鼎安全实验室研究员罗远发现并报告了该漏洞。该漏洞已在 Apache Traffic Control 8.0.2 版本中得到修复。 此次开发正值 ASF解决了Apache HugeGraph-Server (CVE-2024-43441) 1.0 至 1.3 版本中的身份验证绕过漏洞。1.5.0 版本中已发布了针对该缺陷的修复程序。 它还发布了针对 Apache Tomcat（CVE-2024-56337）中一个重要漏洞的补丁，该漏洞可能在某些条件下导致远程代码执行（RCE）。 建议用户将其实例更新到软件的最新版本，以防范潜在威胁。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/AlMi5CgBPNhmkSF0h-fhzQ 封面来源于网络，如有侵权请联系删除

Apache 软件基金会（ASF）发布了一项安全更新，以解决其 Tomcat 服务器软件中的一个重要漏洞，该漏洞在特定条件下可能导致远程代码执行（RCE）。 被追踪为 CVE-2024-56337 的漏洞，被描述为对 CVE-2024-50379（CVSS 评分：9.8）的不完整修复，这是同一产品中先前在 2024 年 12 月 17 日解决的另一个关键安全缺陷。 项目维护者在上周的咨询中表示：“在大小写不敏感的文件系统上运行 Tomcat，并且默认 servlet 写入功能启用（readonly 初始化参数设置为非默认值 false）的用户，可能需要根据他们与 Tomcat 一起使用的 Java 版本进行额外配置，以完全缓解 CVE-2024-50379。” 这两个漏洞都是检查时间与使用时间（TOCTOU）竞态条件漏洞，当默认 servlet 被设置为允许写入时，可能会导致在大小写不敏感的文件系统上执行代码。 Apache 在 CVE-2024-50379 的警报中指出：“在负载下对同一文件进行并发读取和上传可以绕过 Tomcat 的大小写敏感性检查，导致上传的文件被视为 JSP，从而导致远程代码执行。” CVE-2024-56337 影响以下版本的 Apache Tomcat： – Apache Tomcat 11.0.0-M1 至 11.0.1（在 11.0.2 或更高版本中修复） – Apache Tomcat 10.1.0-M1 至 10.1.33（在 10.1.34 或更高版本中修复） – Apache Tomcat 9.0.0.M1 至 9.0.97（在 9.0.98 或更高版本中修复） 此外，根据运行的 Java 版本，用户需要进行以下配置更改： – Java 8 或 Java 11 – 明确设置系统属性 sun.io.useCanonCaches 为 false（默认为 true） – Java 17 – 如果已经设置，则将系统属性 sun.io.useCanonCaches 设置为 false（默认为 false） – Java 21 及更高版本 – 不需要采取行动，因为系统属性已被移除 ASF 感谢安全研究人员 Nacl、WHOAMI、Yemoli 和 Ruozhi 识别并报告了这两个缺陷。它还感谢知道创宇404 团队独立报告了 CVE-2024-56337 并提供了概念验证（PoC）代码。 这一披露是在 Zero Day Initiative（ZDI）分享了 Webmin（CVE-2024-12828，CVSS 评分：9.9）的一个关键漏洞细节时发布的，该漏洞允许经过身份验证的远程攻击者执行任意代码。 ZDI 表示：“特定的漏洞存在于处理 CGI 请求的过程中。”“问题是由于在使用用户提供的字符串执行系统调用之前，没有进行适当的验证。攻击者可以利用这个漏洞，在 root 权限下执行代码。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

一种新的基于 Mirai 的僵尸网络正在积极利用远程代码执行漏洞，该漏洞尚未得到CVE编号，也没有在 DigiEver DS-2105 Pro NVR 中修补。 僵尸网络针对多个网络录像机和固件过时的 TP-Link 路由器。 TXOne 研究员 Ta-Lun Yen 记录了该活动所利用的漏洞之一，并于去年在罗马尼亚布加勒斯特举行的 DefCamp 安全会议上进行了展示。该研究员当时表示，该问题影响了多台 DVR 设备。 Akamai 的研究人员观察到，僵尸网络在 11 月中旬开始利用该漏洞，但发现证据表明该活动至少从 9 月份就开始活跃。 除了 DigiEver 漏洞之外，新的 Mirai 恶意软件变种还针对TP-Link 设备上的CVE-2023-1389和 Teltonika RUT9XX 路由器上的 CVE-2018-17532。 针对 DigiEver NVR 的攻击 被用来攻击 DigiEver NVR 的漏洞是一个远程代码执行 (RCE) 缺陷，黑客的目标是“/cgi-bin/cgi_main.cgi”URI，该 URI 会不正确地验证用户输入。 这允许远程未经身份验证的攻击者通过某些参数（例如 HTTP POST 请求中的 ntp 字段）注入“curl”和“chmod”等命令。 Akamai 表示，它所看到的基于 Mirai 的僵尸网络发起的攻击与 Ta-Lun Yen 演示中描述的攻击类似。 通过命令注入，攻击者从外部服务器获取恶意软件二进制文件，并将设备纳入其僵尸网络。通过添加 cron 作业实现持久性。 一旦设备受到攻击，就会利用漏洞集和凭证列表进行分布式拒绝服务 (DDoS) 攻击或传播到其他设备。 Akamai 表示，新的 Mirai 变种因使用 XOR 和 ChaCha20 加密以及针对包括 x86、ARM 和 MIPS 在内的广泛系统架构而著称。 Akamai 评论道：“尽管采用复杂的解密方法并不是什么新鲜事，但它表明基于 Mirai 的僵尸网络运营商的策略、技术和程序正在不断发展。” 研究人员表示：“这一点尤其值得注意，因为许多基于 Mirai 的僵尸网络仍然依赖于原始 Mirai 恶意软件源代码版本中包含的回收代码中的原始字符串混淆逻辑。” 研究人员指出，该僵尸网络还利用了 Teltonika RUT9XX 路由器中的漏洞CVE-2018-17532以及影响 TP-Link 设备的漏洞CVE-2023-1389 。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/C-qEWotE2KDXBxKH2kMMyQ 封面来源于网络，如有侵权请联系删除